信息安全策略.docVIP

信息安全策略 信息安全策略 PAGE / NUMPAGES 信息安全策略 三二一（北京）科技有限企业信息安 全策略 2016年8月 版本控制 版本  改正时间 2016-08-25  改正内容 新增  改正人员 陈达隆  审察人员 吴为问 第一章 总则 第一条 为了成立、健全三二一（北京）科技有限企业的信息安全管理制度，依照有关的国家标准，确立信息安全目标和目标，对信息安全风险进行有效管理， 保证全体职工理解并依照信息安全管理制度的有关规定执行， 改良信息安全管理制度的有效性， 特拟订信息安全策略文档。 第二条 本文档合用于三二一 （北京）科技有限企业信息安全管理活动。 第二章 信息安全范围 第三条 信息安全策略波及的范围包含： (一) 企业全体职工。 (二) 企业所有业务系统。 (三) 企业现有信息财产，包含与上述业务系统有关的数据、硬 件、软件、服务及文档等。 (四) 企业办公场所和上述信息财产所处的物理地点。 第三章 信息安全整体目标 第四条 经过成立健全企业各项信息安全管理制度、 增强企业员 工的信息安全培训和教育工作， 拟订适合企业的风险控制举措， 有效 控制信息系统面对的安全风险，保障信息系统的正常稳固运转。 第四章 信息安全目标 第五条 企业主管领导按期组织有关人员召开信息安全会议， 对有关的信息安全重要问题做出决议。 第六条 清楚辨别所有财产，实行等级标志，对财产进行分级、分类管理，并编制和保护所有重要财产的清单。 第七条 综合使用接见控制、 监测、审计和身份鉴识等方法来保证数据、网络、 信息资源的安全，并增强对外单位人员接见信息系统的控制，降低系统被非法入侵的风险。 第八条 启动服务器操作系统、网络设备、安全设备、应用软件的日记功能，按期进行审计并作相应的记录。 第九条 明确全体职工的信息安全责任， 所有职工一定接受信息安全教育培训，提升信息安全意识。针对不一样岗位，拟订不一样样级培训计划，并按期对各个岗位人员进行安全技术及安全认知查核。 第十条 成立安全事件报告、 事故应答和分类体制， 确立报告可疑的和发生的信息安全事故的流程， 并使所有的职工和有关方都能理解和执行事故办理流程，同时妥当保存安全事件的有关记录与凭证。 第十一条 对用户权限和口令进行严格管理，防备对信息系统的非法接见。 第十二条 拟订完美的数据备份策略，对重要数据进行备份。数据备份按期进行复原测试， 备份介质与原信息所在场所应保持安全距离。 第十三条 与外单位的外包（服务）合同应明确规定合同参加 方的安全要求、 安全责任和安全规定等有关安全内容， 并采纳相应措 施严格保证对协议安全内容的执行。 第十四条 在开发新业务系统时， 应充足考虑有关的安全需求， 并严格控制对项目有关文件和源代码等敏感数据的接见。 第十五条 按期对信息系统进行风险评估，并依据风险评估的 结果采纳相应举措进行风险控制。 第十六条 上述目标由信息安全管理委员会赞同公布，并按期 评审其合用性和充足性，必需时予以订正。 第五章 信息安全职责 第十七条 信息安全管理委员会负责赞同信息安全策略文件并 且保证本文件被企业的各部门执行，同时负责对三二一（北京）科技 有限企业信息系统信息安全方面的指导方向、 安全建设等重要问题做 出决议，协调各个部门之间的安全共同工作， 支持和推进信息安全工 作在整个企业范围内的实行。 第十八条 信息技术部负责详细执行安全管理策略文件的建 立、实行、运作、监控、评审、保护和改良工作。 第十九条 三二一（北京）科技有限企业所有职工有责任认识 自己在信息系统信息安全方面的责任并仔细执行。 第六章 信息安全管理原则 第二十条 信息安全管理工作推行“踊跃防备、突出要点、职 责到位、保障业务”和“谁主管、谁负责”的管理原则。 第七章 信息安全策略 一、 安全管理制度策略 第二十一条 由企业一致拟订信息安全工作的整体目标和安全策略，说明安全工作的整体目标、范围、原则和安全框架，形成由安全策略、管理制度、操作规程等组成的全面的信息安全管理制度系统。 第二十二条 信息技术部负责安全管理制度的拟订，安全管理制度应拥有一致的格式和版本控制， 同时并组织有关人员对拟订的安全管理制度进行论证和鉴定， 并经过脐橙金融网络借贷信息中介平台进行公布。 第二十三条 信息安全管理委员会负责按期组织有关部门和有关人员对安全管理制度系统的合理性和合用性进行鉴定， 对存在不足或需要改良的安全管理制度进行订正。 二、 安全管理机构策略 第二十四条 成立信息安全管理委员会， 全面负责信息安全工作。 第二十五条 信息技术部作为信息安全管理工作的职能部门，并建立安全管理专员，并建立应用系统管理员、数据库管理员、网络管理员等岗位，并定义各岗位的职责。 第二十六条 要点事务岗位应装备 AB 角。